年金情報流出 構造的問題根深く被害拡大

8月20日 16時30分

日本年金機構は年金情報の流出問題を巡る内部調査の結果を公表し、初動対応の不備や情報セキュリティーへの問題意識の甘さを認めたうえで、組織としての一体感の不足といった構造的な問題が今なお根深く残っていることが、被害を拡大させた原因の根底にあるなどとしています。

日本年金機構のシステムから大量の個人情報が流出した問題を受けて、機構は水島理事長をトップとする調査委員会を内部に設けて、原因の究明や再発防止策の検討を進め、２０日に調査結果を公表しました。
それによりますと、問題の経緯について、ことし５月８日に内閣サイバーセキュリティセンターから厚生労働省を通じ、機構の職員のコンピューター端末に「不審な通信を検知」したという最初の通報を受ける一方、これ以降、特定の組織を狙ってウイルスを仕込んだ標的型のメール、合わせて１２４通が送りつけられ、このうち５人の職員が添付ファイルなどを開いていたということです。
その結果、３１台の端末がウイルスに感染し、５月２１日からの３日間で、加入者の氏名や基礎年金番号などおよそ１２５万件の個人情報が流出したほか、機構の職員の個人情報２２５件も流出した可能性があるとしています。
こうした初動対応について、最初に標的型のメールを受けた直後に、送信元のメールアドレスの受信拒否を設定しなかったことや、メールを受信した職員全員に添付ファイルを開いたかどうか確認しなかったこと、機構全体の統合ネットワークを通じインターネットの接続を遮断しなかったことから対応が遅れ、被害を拡大させたとして、対応の不備を認めています。
また、原則、個人情報などはインターネットに接続されたシステムに保管しないなどとするルールも徹底されず、情報セキュリティーへの問題意識が甘かったとしています。
そのうえで、原因の根底には、業務の実態が幹部を含む本部に伝わらず、本部に実態を把握する努力が不足しているといった組織としての一体感の不足や、指揮命令系統が明確でないなど、機構が抱える構造的な問題が、今なお根深く残っていると言わざるを得ないと指摘しています。さらに、一部の職員がインターネットの掲示板に書き込みを行うなど、職員のモラルの問題も明らかになったとしています。
そして、再発防止に向けて、個人情報などを扱うシステムはインターネットから完全に遮断することや、セキュリティー対策を強化するための組織を新たに設け、規程の見直しや職員向けの研修を充実させること、また、理事長をトップとする「日本年金機構再生本部」を設け、組織の抜本的な改革に取り組むことなどを挙げています。
年金情報の流出問題を巡っては２１日に、厚生労働省に設置された有識者による検証委員会も報告書を公表することにしています。